PT-2026-32511 · Unknown · Craft Commerce
Tianluov
·
Publicado
2026-04-13
·
Atualizado
2026-04-28
·
CVE-2026-32270
CVSS v4.0
1.7
Baixa
| Vetor | AV:N/AC:H/AT:P/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:U |
Nome do Software Vulnerável e Versões Afetadas
Craft Commerce versões anteriores a 4.11.0
Craft Commerce versões anteriores a 5.6.0
Descrição
A função
actionPay() no 'PaymentsController' divulga dados de pedidos a usuários não autenticados. Isso ocorre quando um número de pedido é fornecido e a verificação de e-mail falha durante um pagamento anônimo. A resposta de erro JSON resultante contém o objeto de pedido serializado order, que inclui informações sensíveis, como e-mail do cliente, endereço de envio e endereço de cobrança. Isso acontece porque a função actionPay() recupera pedidos por número antes que a autorização seja totalmente aplicada.Recomendações
Atualizar para a versão 4.11.0 para versões anteriores a 4.11.0.
Atualizar para a versão 5.6.0 para versões anteriores a 5.6.0.
Como medida paliativa temporária, considere restringir o acesso à função
actionPay().Correção
Information Disclosure
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Craft Commerce